Nesta página, você encontra uma visão geral da solução HSM bare metal.
Visão geral
O HSM bare metal é uma oferta de infraestrutura como serviço que permite implantar módulos de segurança de hardware (HSMs) de propriedade do cliente ao lado das cargas de trabalho doGoogle Cloud . Seus HSMs são implantados em instalações compatíveis com PCI para atender aos requisitos de segurança, compliance e baixa latência.
Para oferecer suporte à migração das cargas de trabalho para a nuvem, o Google hospeda seus HSMs, oferecendo segurança física e de rede, espaço em rack e prateleira, energia e integração de rede por uma taxa mensal.
Com o HSM em bare metal, você pode assinar diretamente com o Google para a colocação dos HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.
A solução HSM Bare Metal é compatível com instalações de colocation com temas de peering ativos. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.
Comparação com o Rack Bare Metal HSM
Com o Rack Bare Metal HSM e o Bare Metal HSM, é possível hospedar seus próprios HSMs em instalações Google Cloud . A principal diferença entre as soluções Bare Metal Rack HSM e Bare Metal HSM é a escala. A tabela a seguir resume as principais diferenças entre essas soluções:
| HSM bare metal | Rack Bare Metal HSM |
|---|---|
| O Google hospeda seus HSMs por dispositivo. | O Google hospeda seus HSMs por rack. |
| Você tem acesso lógico aos HSMs, mas não tem acesso físico. | Você tem acesso lógico aos HSMs e pode agendar acesso físico acompanhado. |
| Destinado a pequenas implantações de 10 a 15 HSMs | Destinado a implantações grandes no nível do rack de 100 ou mais HSMs |
Se você não tiver certeza de qual dessas soluções é a mais adequada para suas necessidades, entre em contato com seu representante de conta.
Modelo operacional
- Processo de integração
- Contrato: mínimo de 12 meses. É necessário ter o Suporte Premium.
- Aquisição e configuração: sua organização adquire, configura e envia HSMs para o Google.
- Montagem e conexão: o Google implanta seus HSMs e configura a conexão da Interconexão por parceiro.
- Validação e transferência: confirme a solução de engenharia e a acessibilidade aos HSMs, teste a solução e assine.
- Modelo de suporte
- O Google oferece suporte para rack e stack, hospedagem, smart hands, compliance e conexão de Interconexão por parceiro.
- Entre em contato com o fornecedor do HSM para receber suporte sobre software, licenciamento, ferramentas e solução de problemas.
- Processo de desativação
- Você envia uma solicitação de desativação.
- Você precisa apagar todos os dados e inicializar todos os HSMs para a configuração padrão de fábrica.
Requisitos de conformidade
Esta oferta é limitada a HSMs com certificação FIPS 140-2 de nível 3 ou melhor e não é um serviço generalizado de hospedagem ou colocation. A solução HSM Bare Metal é hospedada em instalações totalmente compatíveis com PCI-DSS, PCI-3DS e SOC 1, 2 e 3. O Google vai apoiar sua AOC para conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.
Separação de responsabilidades
Você é responsável por receber e provisionar os HSMs e enviá-los às regiões Google Cloud adequadas. Os HSMs usados são de sua escolha, mas precisam atender aos requisitos de equipamento HSM.
O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. As chaves são de diferentes fornecedores para cada par de racks. Para a solução HSM Bare Metal, você tem seus próprios racks e interruptores dedicados. O Google oferece um serviço de rack para seus HSMs e trabalha com você para validar a conexão da Interconexão por parceiro. Cada rack tem fontes de alimentação redundantes.
Como acessar o HSM bare metal
Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.
O Google não tem acesso lógico aos HSMs, mas fornece e mantém os racks, a alternância e a conexão. O Google não tem acesso aos dados ou chaves no HSM.
Você precisa implantar HSMs com capacidade completa de gerenciamento remoto. Não é possível acessar fisicamente os HSMs enquanto eles estão na instalação de colocation.
O Google oferece um serviço remoto para mãos. Não é permitido que os clientes visitem a instalação. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.
No final do contrato ou da vida útil do HSM, envie uma solicitação para desativar os HSMs e apagar todos os dados ou restaurar os HSMs para as configurações de fábrica. Depois que os HSMs forem apagados ou redefinidos e a autorização legal for obtida, eles serão enviados de volta a você ou destruídos se não puderem ser reenviados.
Requisitos de equipamento do HSM
Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.
O número de HSMs que podem caber em um rack depende do número de portas disponíveis no modelo atual da chave do topo do rack, do número de unidades do rack ocupadas pelo modelo do HSM e do consumo de energia dos HSMs.
- Energia
- Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).
- Distribuição de energia
- Linha 208V linha a linha (para locais nos Estados Unidos).
- PDU de rack fornecendo contêineres e saídas C13 ou C19.
- Cabos de alimentação (fornecidos por você)
- O cabo do PDU para rack precisa ser do tipo C14 ou C20.
- Cabos de alimentação de 2 x 6 pés ou 2 metros (comprimento preferido).
- Rede
- Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).
- Cabos de rede (fornecidos por você)
- 2 x 6 pés ou 2 metros (comprimento preferencial) CAT-5e ou cabos patch melhores.
- Dimensões físicas
- Profundidade do rack: 100 cm de profundidade.
- Espaçamento do rack: montagem em rack EIA-310 de 19 polegadas padrão com suportes de orifício quadrado. Ocupa até quatro unidades de rack por HSM.
- Segurança
- Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
- O HSM precisa ter a certificação FIPS 140-2 Nível 3 ou mais recente.
- O HSM precisa ser totalmente gerenciável remotamente.
Não há requisitos para peso ou resfriamento.
Visão geral da implantação
Para se qualificar para um SLA com tempo de atividade de 99,99%, você precisa atender aos seguintes requisitos:
- Implante HSMs em pelo menos duas zonas: duas regiõesGoogle Cloud diferentes ou, quando disponível, duas zonas na mesma região.
- Implante no mínimo dois HSMs por zona (pelo menos um HSM por rack em pelo menos dois racks).
Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.
Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.
Topologia de rede
Um par de racks em uma única zona é coberto por um SLA de 99,9%.
Uma implantação completa em duas zonas oferece um SLA de 99,99%. Isso pode ser feito usando duas regiões ou, quando disponível, duas zonas na mesma região.
Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. Um aplicativo precisa fazer failover da zona 1 para a zona 2 em um único local, de HSM para HSM.
A ativação do recurso "Roteamento global" permite que os HSMs em qualquer local alcancem recursos doGoogle Cloud em qualquer região.
Uma única falha de conexão da Interconexão por parceiro não é uma violação do SLA.
O diagrama de alto nível a seguir mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.
- Cada implantação de zona contém no mínimo dois racks para seu uso e um interruptor por rack.
- Essas chaves são fornecidas pelo Google e são de diferentes fornecedores.
- Cada chave de alto-rack tem uma Interconexão por parceiro de 10G com anexos da VLAN redundantes para Interconexão por parceiro para Cloud Routers redundantes.
- Cada HSM precisa ter no mínimo duas interfaces de rede de cobre 1GE com conexões redundantes para os dois switches na parte superior do rack. As interfaces de gerenciamento e dados precisam ter conexões redundantes próprias para os dois switches na parte superior do rack.
- Você fornece as alocações de endereço IP para as redes HSM.
- As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
- Ative o roteamento dinâmico global na sua nuvem privada virtual (VPC) para permitir o acesso aos HSMs de qualquer região do Google Cloud em que você implantou recursos. O roteamento dinâmico global também é necessário para se qualificar para 99,99% de disponibilidade.
- O BGP entre as chaves do topo do rack e os Cloud Routers no seu projeto troca informações de acessibilidade para rotear entre os recursos do projeto Google Cloud e os HSMs.
Requisitos de rede
Siga estas etapas para cada conjunto de racks em uma zona para permitir que seus HSMs sejam hospedados no Google:
Crie um par redundante de Cloud Routers por zona usando ASN16550. Para instruções detalhadas, consulte Como criar Cloud Routers.
Crie dois pares redundantes de anexos da VLAN com Partner Interconnect por zona usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. É preciso que haja um total de quatro anexos por zona. Se os anexos foram criados sem a opção de pré-ativação ativada, é possível ativar as conexões manualmente.
Para mais informações sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.
Ative o roteamento dinâmico global na rede VPC.
- Para alcançar 99,99% de disponibilidade, use as etapas em Como estabelecer 99,99% de disponibilidade na Interconexão por parceiro.
- As implantações em uma única zona têm 99,9% de disponibilidade até que a segunda zona esteja disponível. Para este caso, consulte Como estabelecer 99,9% de disponibilidade na Interconexão por parceiro
Configure as regras de firewall conforme necessário para permitir o tráfego entre os recursos das instalações e do projeto.
Compatibilidade de local
O HSM bare metal está disponível nos seguintes locais do Cloud KMS:
| Área geográfica | Nome do local | Descrição do local | Zonas por região |
|---|---|---|---|
| Américas | us-central1 |
Iowa | 1 |
| Américas | us-south1 |
Dallas | 1 |
| Américas | us-east4 |
Norte da Virgínia | 1 |
| Américas | us-west1 |
Oregon | 1 |
| Europa | europe-west4 |
Países Baixos | 1 |
| Europa | europe-west3 |
Frankfurt | 1 |
| Américas | southamerica-west1 |
Santiago | 1 |
| Américas | southamerica-east1 |
São Paulo | 1 |
| Oriente Médio | me-west1 |
Tel Aviv | 2 |
Entrar em contato com o Google
Esse produto está disponível apenas para clientes com requisitos técnicos e comerciais específicos.
Se você tiver interesse no HSM Bare Metal com o Google, entre em contato com seu representante de conta para receber mais ajuda.